approver-policy APIリファレンス

パッケージ

policy.cert-manager.io/v1alpha1

`policy.cert-manager.io/v1alpha1`

リソースタイプ

CertificateRequestPolicy

`CertificateRequestPolicy`

CertificateRequestPolicyは、適用可能なCertificateRequestを承認または拒否するかどうかを決定する「ポリシープロファイル」を記述するためのオブジェクトです。

名前	タイプ	説明	必須
apiVersion	文字列	policy.cert-manager.io/v1alpha1	真
種類	文字列	CertificateRequestPolicy	真
メタデータ	オブジェクト	`metadata` フィールドのフィールドについては、Kubernetes APIドキュメントを参照してください。	真
spec	オブジェクト	CertificateRequestPolicySpecは、CertificateRequestPolicyの目的の状態を定義します。	偽
ステータス	オブジェクト	CertificateRequestPolicyStatusは、CertificateRequestPolicyの観測された状態を定義します。	偽

`CertificateRequestPolicy.spec`

CertificateRequestPolicySpecは、CertificateRequestPolicyの目的の状態を定義します。

名前	タイプ	説明	必須
セレクター	オブジェクト	セレクターは、このCertificateRequestPolicyがどのCertificateRequestに適しているかを選択するために使用されます。そのため、承認評価に使用されます。	真
許可済み	オブジェクト	許可済みは、CertificateRequestに許可されている属性を定義します。CertificateRequestは、許可されているよりも少なく要求できますが、多くは要求できません。つまり、CertificateRequestは、ポリシーによって許可されているとして宣言されているもののサブセットを要求できます。省略されたフィールドは、同等のCertificateRequestフィールドが省略されているか、要求が許可されるために空の値である必要があることを宣言します。	偽
制約	オブジェクト	制約は、このポリシーによって要求が許可されるためにCertificateRequestによって満たされる必要があるフィールドを定義します。省略されたフィールドは、リクエストの対応する属性に制限を課しません。	偽
プラグイン	map[string]オブジェクト	プラグインは、コンパイル時にapprover-policyに組み込まれる承認者です。これは、通常、approver-policyのコア機能を拡張するために使用される高度な機能です。このフィールドは、このポリシーがCertificateRequestに対して評価されるときに実行されるプラグインとその構成を定義します。	偽

`CertificateRequestPolicy.spec.selector`

セレクターは、このCertificateRequestPolicyがどのCertificateRequestに適しているかを選択するために使用されます。そのため、承認評価に使用されます。

名前	タイプ	説明	必須
issuerRef	オブジェクト	IssuerRefはissuerでマッチングするために使用されます。つまり、CertificateRequestPolicyは、一致するissuerを参照するCertificateRequestのみを評価します。リクエスターがRBACによってバインドされているかどうかに関係なく、issuerが一致しない場合、CertificateRequestは処理されません。次の値は、すべてのissuerと一致します issuerRef: {}	偽
名前空間	オブジェクト	名前空間は、名前空間でマッチングするために使用されます。つまり、CertificateRequestPolicyは、一致する名前空間で作成されたCertificateRequestのみを一致させます。このフィールドが省略されている場合、すべての名前空間のリソースがチェックされます。	偽

名前

タイプ

説明

必須

issuerRef

オブジェクト

IssuerRefはissuerでマッチングするために使用されます。つまり、CertificateRequestPolicyは、一致するissuerを参照するCertificateRequestのみを評価します。リクエスターがRBACによってバインドされているかどうかに関係なく、issuerが一致しない場合、CertificateRequestは処理されません。

次の値は、すべてのissuerと一致します

issuerRef: {}

偽

名前空間

オブジェクト

名前空間は、名前空間でマッチングするために使用されます。つまり、CertificateRequestPolicyは、一致する名前空間で作成されたCertificateRequestのみを一致させます。このフィールドが省略されている場合、すべての名前空間のリソースがチェックされます。

偽

`CertificateRequestPolicy.spec.selector.issuerRef`

次の値は、すべてのissuerと一致します

issuerRef: {}

名前	タイプ	説明	必須
グループ	文字列	グループは、リクエストの`spec.issuerRef.group`フィールドをマッチングするためのワイルドカードセレクターです。ワイルドカード「*」を受け入れます。省略されたフィールドは、すべてのグループに一致します。	偽
種類	文字列	種類は、リクエストの`spec.issuerRef.kind`フィールドをマッチングするためのワイルドカードセレクターです。ワイルドカード「*」を受け入れます。省略されたフィールドは、すべての種類に一致します。	偽
名前	文字列	名前は、リクエストの`spec.issuerRef.name`フィールドをマッチングするワイルドカード対応セレクターです。ワイルドカード「*」を受け入れます。省略されたフィールドは、すべての名前に一致します。	偽

`CertificateRequestPolicy.spec.selector.namespace`

名前	タイプ	説明	必須
matchLabels	map[string]文字列	MatchLabelsは、セレクターに一致する名前空間で作成されたCertificateRequestを選択する名前空間ラベルのセットです。	偽
matchNames	[]文字列	MatchNamesは、一致する名前空間で作成されたCertificateRequestを選択する名前空間名のセットです。ワイルドカード「*」を受け入れます。TODO: v1alpha2でx-kubernetes-list-type: setを追加	偽

`CertificateRequestPolicy.spec.allowed`

許可済みは、CertificateRequestに許可されている属性を定義します。CertificateRequestは、許可されているよりも少なく要求できますが、多くは要求できません。つまり、CertificateRequestは、ポリシーによって許可されているとして宣言されているもののサブセットを要求できます。省略されたフィールドは、同等のCertificateRequestフィールドが省略されているか、要求が許可されるために空の値である必要があることを宣言します。

名前	タイプ	説明	必須
commonName	オブジェクト	CommonNameは、リクエストできるX.509共通名を定義します。	偽
dnsNames	オブジェクト	DNSNamesは、リクエストできるX.509 DNS SANを定義します。	偽
emailAddresses	オブジェクト	EmailAddressesは、リクエストできるX.509メールSANを定義します。	偽
ipAddresses	オブジェクト	IPAddressesは、リクエストできるX.509 IP SANを定義します。	偽
isCA	ブール値	IsCAは、CertificateRequestが`spec.isCA`フィールドを`true`に設定することを許可されているかどうかを定義します。`true`の場合、`spec.isCA`フィールドは`true`または`false`にすることができます。`false`または設定されていない場合、`spec.isCA`フィールドは`false`である必要があります。	偽
件名	オブジェクト	サブジェクトは、CertificateRequestで許可されているX.509サブジェクト属性を宣言します。省略されたフィールドは、サブジェクト属性が要求されることを禁止します。CertificateRequestは、許可されたX.509サブジェクト属性のサブセットを要求できます。	偽
uris	オブジェクト	URIsは、リクエストできるX.509 URI SANを定義します。	偽
usages	[]enum	Usagesは、CertificateRequestの`spec.keyUsages`フィールドに含めることができるキーの使用法を定義します。設定されている場合、CertificateRequestの`spec.keyUsages`は、指定された値のサブセットである必要があります。`[]`または設定されていない場合、`spec.keyUsages`は許可されません。TODO: v1alpha2でx-kubernetes-list-type: setを追加	偽

`CertificateRequestPolicy.spec.allowed.commonName`

CommonNameは、リクエストできるX.509共通名を定義します。

名前タイプ説明必須

名前	タイプ	説明	必須
必須	ブール値	関連フィールドが必須であり、空の文字列であってはならないことを示す必須項目。デフォルトは`false`です。	偽
validations	オブジェクトの配列	validationsは、Common Expression Language (CEL)を使用して、value/requiredで表現できる範囲を超えて、リクエストに存在する属性値を検証するルールを適用します。関連するCertificateRequestフィールドの属性値は、このポリシーによってリクエストが許可されるために、すべての検証に合格する必要があります。	偽
value	文字列	Valueは、関連するCertificateRequestフィールドで許可される属性値を定義します。ワイルドカード"*"を受け入れます。設定した場合、関連フィールドは指定されたパターンに一致する必要があります。注：`value: ""`と`required: true`を組み合わせると、`CertificateRequest`を許可しないポリシーが確立されますが、他のポリシーでは許可される可能性があります。	偽

必須

ブール値

関連フィールドが必須であり、空の文字列であってはならないことを示す必須項目。デフォルトはfalseです。

偽

validations

オブジェクトの配列

validationsは、Common Expression Language (CEL)を使用して、value/requiredで表現できる範囲を超えて、リクエストに存在する属性値を検証するルールを適用します。関連するCertificateRequestフィールドの属性値は、このポリシーによってリクエストが許可されるために、すべての検証に合格する必要があります。

偽

value

文字列

Valueは、関連するCertificateRequestフィールドで許可される属性値を定義します。ワイルドカード"*"を受け入れます。設定した場合、関連フィールドは指定されたパターンに一致する必要があります。

注：value: ""とrequired: trueを組み合わせると、CertificateRequestを許可しないポリシーが確立されますが、他のポリシーでは許可される可能性があります。

偽

`CertificateRequestPolicy.spec.allowed.commonName.validations[index]`

ValidationRuleは、CELで表現された検証ルールを記述します。

名前タイプ説明必須

名前	タイプ	説明	必須
rule	文字列	Ruleは、CELによって評価される式を表します。参照：https://github.com/google/cel-spec。Ruleは、スキーマ内のvalidationsの場所にスコープされます。CEL式内の`self`変数は、スコープされた値にバインドされます。より高度な検証ルールを有効にするために、承認者ポリシーは、`CertificateRequest`リソースの`namespace`と`name`を含むCEL式への`cr`（マップ）変数を追加します。例（名前空間付きDNSNamesのルール） rule: self.endsWith(cr.namespace + '.svc.cluster.local')	真
message	文字列	Messageは、検証が失敗した場合に表示するメッセージです。ルールに改行が含まれている場合は、Messageが必要です。Messageに改行を含めてはならないことに注意してください。設定されていない場合は、フォールバックメッセージ「failed rule: `<rule>`」が使用されます。例：「spec.hostと一致するホストを持つURLでなければなりません」	偽

rule

文字列

Ruleは、CELによって評価される式を表します。参照：https://github.com/google/cel-spec。Ruleは、スキーマ内のvalidationsの場所にスコープされます。CEL式内のself変数は、スコープされた値にバインドされます。より高度な検証ルールを有効にするために、承認者ポリシーは、CertificateRequestリソースのnamespaceとnameを含むCEL式へのcr（マップ）変数を追加します。

例（名前空間付きDNSNamesのルール）

rule: self.endsWith(cr.namespace + '.svc.cluster.local')

真

message

文字列

Messageは、検証が失敗した場合に表示するメッセージです。ルールに改行が含まれている場合は、Messageが必要です。Messageに改行を含めてはならないことに注意してください。設定されていない場合は、フォールバックメッセージ「failed rule: <rule>」が使用されます。例：「spec.hostと一致するホストを持つURLでなければなりません」

偽

`CertificateRequestPolicy.spec.allowed.dnsNames`

DNSNamesは、リクエストできるX.509 DNS SANを定義します。

名前タイプ説明必須

名前	タイプ	説明	必須
必須	ブール値	Requiredは、関連フィールドに少なくとも1つの値が必要かどうかを制御します。デフォルトは`false`です。	偽
validations	オブジェクトの配列	Validationsは、Common Expression Language（CEL）を使用して、値/必須を使用して表現できる範囲を超えて、リクエストに存在する属性値を検証するルールを適用します。関連するCertificateRequestフィールドのすべての属性値は、このポリシーによってリクエストが許可されるために、すべての検証に合格する必要があります。	偽
values	[]文字列	Valuesは、関連するCertificateRequestフィールドで許可される属性値を定義します。ワイルドカード"*"を受け入れます。設定した場合、関連フィールドには許可された値に含まれる項目のみを含めることができます。注：`values: []`と`required: true`を組み合わせると、`CertificateRequest`を許可しないポリシーが確立されますが、他のポリシーでは許可される可能性があります。TODO: v1alpha2にx-kubernetes-list-type: setを追加	偽

必須

ブール値

Requiredは、関連フィールドに少なくとも1つの値が必要かどうかを制御します。デフォルトはfalseです。

偽

validations

オブジェクトの配列

Validationsは、Common Expression Language（CEL）を使用して、値/必須を使用して表現できる範囲を超えて、リクエストに存在する属性値を検証するルールを適用します。関連するCertificateRequestフィールドのすべての属性値は、このポリシーによってリクエストが許可されるために、すべての検証に合格する必要があります。

偽

values

[]文字列

Valuesは、関連するCertificateRequestフィールドで許可される属性値を定義します。ワイルドカード"*"を受け入れます。設定した場合、関連フィールドには許可された値に含まれる項目のみを含めることができます。

注：values: []とrequired: trueを組み合わせると、CertificateRequestを許可しないポリシーが確立されますが、他のポリシーでは許可される可能性があります。TODO: v1alpha2にx-kubernetes-list-type: setを追加

偽

`CertificateRequestPolicy.spec.allowed.dnsNames.validations[index]`

ValidationRuleは、CELで表現された検証ルールを記述します。

名前タイプ説明必須

名前	タイプ	説明	必須
rule	文字列	Ruleは、CELによって評価される式を表します。参照：https://github.com/google/cel-spec。Ruleは、スキーマ内のvalidationsの場所にスコープされます。CEL式内の`self`変数は、スコープされた値にバインドされます。より高度な検証ルールを有効にするために、承認者ポリシーは、`CertificateRequest`リソースの`namespace`と`name`を含むCEL式への`cr`（マップ）変数を追加します。例（名前空間付きDNSNamesのルール） rule: self.endsWith(cr.namespace + '.svc.cluster.local')	真
message	文字列	Messageは、検証が失敗した場合に表示するメッセージです。ルールに改行が含まれている場合は、Messageが必要です。Messageに改行を含めてはならないことに注意してください。設定されていない場合は、フォールバックメッセージ「failed rule: `<rule>`」が使用されます。例：「spec.hostと一致するホストを持つURLでなければなりません」	偽

rule

文字列

例（名前空間付きDNSNamesのルール）

rule: self.endsWith(cr.namespace + '.svc.cluster.local')

真

message

文字列

偽

`CertificateRequestPolicy.spec.allowed.emailAddresses`

EmailAddressesは、リクエストできるX.509メールSANを定義します。

名前タイプ説明必須

名前	タイプ	説明	必須
必須	ブール値	Requiredは、関連フィールドに少なくとも1つの値が必要かどうかを制御します。デフォルトは`false`です。	偽
validations	オブジェクトの配列	Validationsは、Common Expression Language（CEL）を使用して、値/必須を使用して表現できる範囲を超えて、リクエストに存在する属性値を検証するルールを適用します。関連するCertificateRequestフィールドのすべての属性値は、このポリシーによってリクエストが許可されるために、すべての検証に合格する必要があります。	偽
values	[]文字列	Valuesは、関連するCertificateRequestフィールドで許可される属性値を定義します。ワイルドカード"*"を受け入れます。設定した場合、関連フィールドには許可された値に含まれる項目のみを含めることができます。注：`values: []`と`required: true`を組み合わせると、`CertificateRequest`を許可しないポリシーが確立されますが、他のポリシーでは許可される可能性があります。TODO: v1alpha2にx-kubernetes-list-type: setを追加	偽

必須

ブール値

Requiredは、関連フィールドに少なくとも1つの値が必要かどうかを制御します。デフォルトはfalseです。

偽

validations

オブジェクトの配列

偽

values

[]文字列

偽

`CertificateRequestPolicy.spec.allowed.emailAddresses.validations[index]`

ValidationRuleは、CELで表現された検証ルールを記述します。

名前タイプ説明必須

名前	タイプ	説明	必須
rule	文字列	Ruleは、CELによって評価される式を表します。参照：https://github.com/google/cel-spec。Ruleは、スキーマ内のvalidationsの場所にスコープされます。CEL式内の`self`変数は、スコープされた値にバインドされます。より高度な検証ルールを有効にするために、承認者ポリシーは、`CertificateRequest`リソースの`namespace`と`name`を含むCEL式への`cr`（マップ）変数を追加します。例（名前空間付きDNSNamesのルール） rule: self.endsWith(cr.namespace + '.svc.cluster.local')	真
message	文字列	Messageは、検証が失敗した場合に表示するメッセージです。ルールに改行が含まれている場合は、Messageが必要です。Messageに改行を含めてはならないことに注意してください。設定されていない場合は、フォールバックメッセージ「failed rule: `<rule>`」が使用されます。例：「spec.hostと一致するホストを持つURLでなければなりません」	偽

rule

文字列

例（名前空間付きDNSNamesのルール）

rule: self.endsWith(cr.namespace + '.svc.cluster.local')

真

message

文字列

偽

`CertificateRequestPolicy.spec.allowed.ipAddresses`

IPAddressesは、リクエストできるX.509 IP SANを定義します。

名前タイプ説明必須

名前	タイプ	説明	必須
必須	ブール値	Requiredは、関連フィールドに少なくとも1つの値が必要かどうかを制御します。デフォルトは`false`です。	偽
validations	オブジェクトの配列	Validationsは、Common Expression Language（CEL）を使用して、値/必須を使用して表現できる範囲を超えて、リクエストに存在する属性値を検証するルールを適用します。関連するCertificateRequestフィールドのすべての属性値は、このポリシーによってリクエストが許可されるために、すべての検証に合格する必要があります。	偽
values	[]文字列	Valuesは、関連するCertificateRequestフィールドで許可される属性値を定義します。ワイルドカード"*"を受け入れます。設定した場合、関連フィールドには許可された値に含まれる項目のみを含めることができます。注：`values: []`と`required: true`を組み合わせると、`CertificateRequest`を許可しないポリシーが確立されますが、他のポリシーでは許可される可能性があります。TODO: v1alpha2にx-kubernetes-list-type: setを追加	偽

必須

ブール値

Requiredは、関連フィールドに少なくとも1つの値が必要かどうかを制御します。デフォルトはfalseです。

偽

validations

オブジェクトの配列

偽

values

[]文字列

偽

`CertificateRequestPolicy.spec.allowed.ipAddresses.validations[index]`

ValidationRuleは、CELで表現された検証ルールを記述します。

名前タイプ説明必須

名前	タイプ	説明	必須
rule	文字列	Ruleは、CELによって評価される式を表します。参照：https://github.com/google/cel-spec。Ruleは、スキーマ内のvalidationsの場所にスコープされます。CEL式内の`self`変数は、スコープされた値にバインドされます。より高度な検証ルールを有効にするために、承認者ポリシーは、`CertificateRequest`リソースの`namespace`と`name`を含むCEL式への`cr`（マップ）変数を追加します。例（名前空間付きDNSNamesのルール） rule: self.endsWith(cr.namespace + '.svc.cluster.local')	真
message	文字列	Messageは、検証が失敗した場合に表示するメッセージです。ルールに改行が含まれている場合は、Messageが必要です。Messageに改行を含めてはならないことに注意してください。設定されていない場合は、フォールバックメッセージ「failed rule: `<rule>`」が使用されます。例：「spec.hostと一致するホストを持つURLでなければなりません」	偽

rule

文字列

例（名前空間付きDNSNamesのルール）

rule: self.endsWith(cr.namespace + '.svc.cluster.local')

真

message

文字列

偽

`CertificateRequestPolicy.spec.allowed.subject`

サブジェクトは、CertificateRequestで許可されているX.509サブジェクト属性を宣言します。省略されたフィールドは、サブジェクト属性が要求されることを禁止します。CertificateRequestは、許可されたX.509サブジェクト属性のサブセットを要求できます。

名前	タイプ	説明	必須
countries	オブジェクト	Countriesは、リクエスト可能なX.509 Subject Countriesを定義します。	偽
localities	オブジェクト	Localitiesは、リクエスト可能なX.509 Subject Localitiesを定義します。	偽
organizationalUnits	オブジェクト	OrganizationalUnitsは、リクエスト可能なX.509 Subject Organizational Unitsを定義します。	偽
organizations	オブジェクト	Organizationsは、リクエスト可能なX.509 Subject Organizationsを定義します。	偽
postalCodes	オブジェクト	PostalCodesは、リクエスト可能なX.509 Subject Postal Codesを定義します。	偽
provinces	オブジェクト	Provincesは、リクエスト可能なX.509 Subject Provincesを定義します。	偽
serialNumber	オブジェクト	SerialNumberは、リクエスト可能なX.509 Subject Serial Numberを定義します。	偽
streetAddresses	オブジェクト	StreetAddressesは、リクエスト可能なX.509 Subject Street Addressesを定義します。	偽

`CertificateRequestPolicy.spec.allowed.subject.countries`

Countriesは、リクエスト可能なX.509 Subject Countriesを定義します。

名前タイプ説明必須

名前	タイプ	説明	必須
必須	ブール値	Requiredは、関連フィールドに少なくとも1つの値が必要かどうかを制御します。デフォルトは`false`です。	偽
validations	オブジェクトの配列	Validationsは、Common Expression Language（CEL）を使用して、値/必須を使用して表現できる範囲を超えて、リクエストに存在する属性値を検証するルールを適用します。関連するCertificateRequestフィールドのすべての属性値は、このポリシーによってリクエストが許可されるために、すべての検証に合格する必要があります。	偽
values	[]文字列	Valuesは、関連するCertificateRequestフィールドで許可される属性値を定義します。ワイルドカード"*"を受け入れます。設定した場合、関連フィールドには許可された値に含まれる項目のみを含めることができます。注：`values: []`と`required: true`を組み合わせると、`CertificateRequest`を許可しないポリシーが確立されますが、他のポリシーでは許可される可能性があります。TODO: v1alpha2にx-kubernetes-list-type: setを追加	偽

必須

ブール値

Requiredは、関連フィールドに少なくとも1つの値が必要かどうかを制御します。デフォルトはfalseです。

偽

validations

オブジェクトの配列

偽

values

[]文字列

偽

`CertificateRequestPolicy.spec.allowed.subject.countries.validations[index]`

ValidationRuleは、CELで表現された検証ルールを記述します。

名前タイプ説明必須

名前	タイプ	説明	必須
rule	文字列	Ruleは、CELによって評価される式を表します。参照：https://github.com/google/cel-spec。Ruleは、スキーマ内のvalidationsの場所にスコープされます。CEL式内の`self`変数は、スコープされた値にバインドされます。より高度な検証ルールを有効にするために、承認者ポリシーは、`CertificateRequest`リソースの`namespace`と`name`を含むCEL式への`cr`（マップ）変数を追加します。例（名前空間付きDNSNamesのルール） rule: self.endsWith(cr.namespace + '.svc.cluster.local')	真
message	文字列	Messageは、検証が失敗した場合に表示するメッセージです。ルールに改行が含まれている場合は、Messageが必要です。Messageに改行を含めてはならないことに注意してください。設定されていない場合は、フォールバックメッセージ「failed rule: `<rule>`」が使用されます。例：「spec.hostと一致するホストを持つURLでなければなりません」	偽

rule

文字列

例（名前空間付きDNSNamesのルール）

rule: self.endsWith(cr.namespace + '.svc.cluster.local')

真

message

文字列

偽

`CertificateRequestPolicy.spec.allowed.subject.localities`

Localitiesは、リクエスト可能なX.509 Subject Localitiesを定義します。

名前タイプ説明必須

名前	タイプ	説明	必須
必須	ブール値	Requiredは、関連フィールドに少なくとも1つの値が必要かどうかを制御します。デフォルトは`false`です。	偽
validations	オブジェクトの配列	Validationsは、Common Expression Language（CEL）を使用して、値/必須を使用して表現できる範囲を超えて、リクエストに存在する属性値を検証するルールを適用します。関連するCertificateRequestフィールドのすべての属性値は、このポリシーによってリクエストが許可されるために、すべての検証に合格する必要があります。	偽
values	[]文字列	Valuesは、関連するCertificateRequestフィールドで許可される属性値を定義します。ワイルドカード"*"を受け入れます。設定した場合、関連フィールドには許可された値に含まれる項目のみを含めることができます。注：`values: []`と`required: true`を組み合わせると、`CertificateRequest`を許可しないポリシーが確立されますが、他のポリシーでは許可される可能性があります。TODO: v1alpha2にx-kubernetes-list-type: setを追加	偽

必須

ブール値

Requiredは、関連フィールドに少なくとも1つの値が必要かどうかを制御します。デフォルトはfalseです。

偽

validations

オブジェクトの配列

偽

values

[]文字列

偽

`CertificateRequestPolicy.spec.allowed.subject.localities.validations[index]`

ValidationRuleは、CELで表現された検証ルールを記述します。

名前タイプ説明必須

名前	タイプ	説明	必須
rule	文字列	Ruleは、CELによって評価される式を表します。参照：https://github.com/google/cel-spec。Ruleは、スキーマ内のvalidationsの場所にスコープされます。CEL式内の`self`変数は、スコープされた値にバインドされます。より高度な検証ルールを有効にするために、承認者ポリシーは、`CertificateRequest`リソースの`namespace`と`name`を含むCEL式への`cr`（マップ）変数を追加します。例（名前空間付きDNSNamesのルール） rule: self.endsWith(cr.namespace + '.svc.cluster.local')	真
message	文字列	Messageは、検証が失敗した場合に表示するメッセージです。ルールに改行が含まれている場合は、Messageが必要です。Messageに改行を含めてはならないことに注意してください。設定されていない場合は、フォールバックメッセージ「failed rule: `<rule>`」が使用されます。例：「spec.hostと一致するホストを持つURLでなければなりません」	偽

rule

文字列

例（名前空間付きDNSNamesのルール）

rule: self.endsWith(cr.namespace + '.svc.cluster.local')

真

message

文字列

偽

`CertificateRequestPolicy.spec.allowed.subject.organizationalUnits`

OrganizationalUnitsは、リクエスト可能なX.509 Subject Organizational Unitsを定義します。

名前タイプ説明必須

名前	タイプ	説明	必須
必須	ブール値	Requiredは、関連フィールドに少なくとも1つの値が必要かどうかを制御します。デフォルトは`false`です。	偽
validations	オブジェクトの配列	Validationsは、Common Expression Language（CEL）を使用して、値/必須を使用して表現できる範囲を超えて、リクエストに存在する属性値を検証するルールを適用します。関連するCertificateRequestフィールドのすべての属性値は、このポリシーによってリクエストが許可されるために、すべての検証に合格する必要があります。	偽
values	[]文字列	Valuesは、関連するCertificateRequestフィールドで許可される属性値を定義します。ワイルドカード"*"を受け入れます。設定した場合、関連フィールドには許可された値に含まれる項目のみを含めることができます。注：`values: []`と`required: true`を組み合わせると、`CertificateRequest`を許可しないポリシーが確立されますが、他のポリシーでは許可される可能性があります。TODO: v1alpha2にx-kubernetes-list-type: setを追加	偽

必須

ブール値

Requiredは、関連フィールドに少なくとも1つの値が必要かどうかを制御します。デフォルトはfalseです。

偽

validations

オブジェクトの配列

偽

values

[]文字列

偽

`CertificateRequestPolicy.spec.allowed.subject.organizationalUnits.validations[index]`

ValidationRuleは、CELで表現された検証ルールを記述します。

名前タイプ説明必須

名前	タイプ	説明	必須
rule	文字列	Ruleは、CELによって評価される式を表します。参照：https://github.com/google/cel-spec。Ruleは、スキーマ内のvalidationsの場所にスコープされます。CEL式内の`self`変数は、スコープされた値にバインドされます。より高度な検証ルールを有効にするために、承認者ポリシーは、`CertificateRequest`リソースの`namespace`と`name`を含むCEL式への`cr`（マップ）変数を追加します。例（名前空間付きDNSNamesのルール） rule: self.endsWith(cr.namespace + '.svc.cluster.local')	真
message	文字列	Messageは、検証が失敗した場合に表示するメッセージです。ルールに改行が含まれている場合は、Messageが必要です。Messageに改行を含めてはならないことに注意してください。設定されていない場合は、フォールバックメッセージ「failed rule: `<rule>`」が使用されます。例：「spec.hostと一致するホストを持つURLでなければなりません」	偽

rule

文字列

例（名前空間付きDNSNamesのルール）

rule: self.endsWith(cr.namespace + '.svc.cluster.local')

真

message

文字列

偽

`CertificateRequestPolicy.spec.allowed.subject.organizations`

Organizationsは、リクエスト可能なX.509 Subject Organizationsを定義します。

名前タイプ説明必須

名前	タイプ	説明	必須
必須	ブール値	Requiredは、関連フィールドに少なくとも1つの値が必要かどうかを制御します。デフォルトは`false`です。	偽
validations	オブジェクトの配列	Validationsは、Common Expression Language（CEL）を使用して、値/必須を使用して表現できる範囲を超えて、リクエストに存在する属性値を検証するルールを適用します。関連するCertificateRequestフィールドのすべての属性値は、このポリシーによってリクエストが許可されるために、すべての検証に合格する必要があります。	偽
values	[]文字列	Valuesは、関連するCertificateRequestフィールドで許可される属性値を定義します。ワイルドカード"*"を受け入れます。設定した場合、関連フィールドには許可された値に含まれる項目のみを含めることができます。注：`values: []`と`required: true`を組み合わせると、`CertificateRequest`を許可しないポリシーが確立されますが、他のポリシーでは許可される可能性があります。TODO: v1alpha2にx-kubernetes-list-type: setを追加	偽

必須

ブール値

Requiredは、関連フィールドに少なくとも1つの値が必要かどうかを制御します。デフォルトはfalseです。

偽

validations

オブジェクトの配列

偽

values

[]文字列

偽

`CertificateRequestPolicy.spec.allowed.subject.organizations.validations[index]`

ValidationRuleは、CELで表現された検証ルールを記述します。

名前タイプ説明必須

名前	タイプ	説明	必須
rule	文字列	Ruleは、CELによって評価される式を表します。参照：https://github.com/google/cel-spec。Ruleは、スキーマ内のvalidationsの場所にスコープされます。CEL式内の`self`変数は、スコープされた値にバインドされます。より高度な検証ルールを有効にするために、承認者ポリシーは、`CertificateRequest`リソースの`namespace`と`name`を含むCEL式への`cr`（マップ）変数を追加します。例（名前空間付きDNSNamesのルール） rule: self.endsWith(cr.namespace + '.svc.cluster.local')	真
message	文字列	Messageは、検証が失敗した場合に表示するメッセージです。ルールに改行が含まれている場合は、Messageが必要です。Messageに改行を含めてはならないことに注意してください。設定されていない場合は、フォールバックメッセージ「failed rule: `<rule>`」が使用されます。例：「spec.hostと一致するホストを持つURLでなければなりません」	偽

rule

文字列

例（名前空間付きDNSNamesのルール）

rule: self.endsWith(cr.namespace + '.svc.cluster.local')

真

message

文字列

偽

`CertificateRequestPolicy.spec.allowed.subject.postalCodes`

PostalCodesは、リクエスト可能なX.509 Subject Postal Codesを定義します。

名前タイプ説明必須

名前	タイプ	説明	必須
必須	ブール値	Requiredは、関連フィールドに少なくとも1つの値が必要かどうかを制御します。デフォルトは`false`です。	偽
validations	オブジェクトの配列	Validationsは、Common Expression Language（CEL）を使用して、値/必須を使用して表現できる範囲を超えて、リクエストに存在する属性値を検証するルールを適用します。関連するCertificateRequestフィールドのすべての属性値は、このポリシーによってリクエストが許可されるために、すべての検証に合格する必要があります。	偽
values	[]文字列	Valuesは、関連するCertificateRequestフィールドで許可される属性値を定義します。ワイルドカード"*"を受け入れます。設定した場合、関連フィールドには許可された値に含まれる項目のみを含めることができます。注：`values: []`と`required: true`を組み合わせると、`CertificateRequest`を許可しないポリシーが確立されますが、他のポリシーでは許可される可能性があります。TODO: v1alpha2にx-kubernetes-list-type: setを追加	偽

必須

ブール値

Requiredは、関連フィールドに少なくとも1つの値が必要かどうかを制御します。デフォルトはfalseです。

偽

validations

オブジェクトの配列

偽

values

[]文字列

偽

`CertificateRequestPolicy.spec.allowed.subject.postalCodes.validations[index]`

ValidationRuleは、CELで表現された検証ルールを記述します。

名前タイプ説明必須

名前	タイプ	説明	必須
rule	文字列	Ruleは、CELによって評価される式を表します。参照：https://github.com/google/cel-spec。Ruleは、スキーマ内のvalidationsの場所にスコープされます。CEL式内の`self`変数は、スコープされた値にバインドされます。より高度な検証ルールを有効にするために、承認者ポリシーは、`CertificateRequest`リソースの`namespace`と`name`を含むCEL式への`cr`（マップ）変数を追加します。例（名前空間付きDNSNamesのルール） rule: self.endsWith(cr.namespace + '.svc.cluster.local')	真
message	文字列	Messageは、検証が失敗した場合に表示するメッセージです。ルールに改行が含まれている場合は、Messageが必要です。Messageに改行を含めてはならないことに注意してください。設定されていない場合は、フォールバックメッセージ「failed rule: `<rule>`」が使用されます。例：「spec.hostと一致するホストを持つURLでなければなりません」	偽

rule

文字列

例（名前空間付きDNSNamesのルール）

rule: self.endsWith(cr.namespace + '.svc.cluster.local')

真

message

文字列

偽

`CertificateRequestPolicy.spec.allowed.subject.provinces`

Provincesは、リクエスト可能なX.509 Subject Provincesを定義します。

名前タイプ説明必須

名前	タイプ	説明	必須
必須	ブール値	Requiredは、関連フィールドに少なくとも1つの値が必要かどうかを制御します。デフォルトは`false`です。	偽
validations	オブジェクトの配列	Validationsは、Common Expression Language（CEL）を使用して、値/必須を使用して表現できる範囲を超えて、リクエストに存在する属性値を検証するルールを適用します。関連するCertificateRequestフィールドのすべての属性値は、このポリシーによってリクエストが許可されるために、すべての検証に合格する必要があります。	偽
values	[]文字列	Valuesは、関連するCertificateRequestフィールドで許可される属性値を定義します。ワイルドカード"*"を受け入れます。設定した場合、関連フィールドには許可された値に含まれる項目のみを含めることができます。注：`values: []`と`required: true`を組み合わせると、`CertificateRequest`を許可しないポリシーが確立されますが、他のポリシーでは許可される可能性があります。TODO: v1alpha2にx-kubernetes-list-type: setを追加	偽

必須

ブール値

Requiredは、関連フィールドに少なくとも1つの値が必要かどうかを制御します。デフォルトはfalseです。

偽

validations

オブジェクトの配列

偽

values

[]文字列

偽

`CertificateRequestPolicy.spec.allowed.subject.provinces.validations[index]`

ValidationRuleは、CELで表現された検証ルールを記述します。

名前タイプ説明必須

名前	タイプ	説明	必須
rule	文字列	Ruleは、CELによって評価される式を表します。参照：https://github.com/google/cel-spec。Ruleは、スキーマ内のvalidationsの場所にスコープされます。CEL式内の`self`変数は、スコープされた値にバインドされます。より高度な検証ルールを有効にするために、承認者ポリシーは、`CertificateRequest`リソースの`namespace`と`name`を含むCEL式への`cr`（マップ）変数を追加します。例（名前空間付きDNSNamesのルール） rule: self.endsWith(cr.namespace + '.svc.cluster.local')	真
message	文字列	Messageは、検証が失敗した場合に表示するメッセージです。ルールに改行が含まれている場合は、Messageが必要です。Messageに改行を含めてはならないことに注意してください。設定されていない場合は、フォールバックメッセージ「failed rule: `<rule>`」が使用されます。例：「spec.hostと一致するホストを持つURLでなければなりません」	偽

rule

文字列

例（名前空間付きDNSNamesのルール）

rule: self.endsWith(cr.namespace + '.svc.cluster.local')

真

message

文字列

偽

`CertificateRequestPolicy.spec.allowed.subject.serialNumber`

SerialNumberは、リクエスト可能なX.509 Subject Serial Numberを定義します。

名前タイプ説明必須

名前	タイプ	説明	必須
必須	ブール値	関連フィールドが必須であり、空の文字列であってはならないことを示す必須項目。デフォルトは`false`です。	偽
validations	オブジェクトの配列	validationsは、Common Expression Language (CEL)を使用して、value/requiredで表現できる範囲を超えて、リクエストに存在する属性値を検証するルールを適用します。関連するCertificateRequestフィールドの属性値は、このポリシーによってリクエストが許可されるために、すべての検証に合格する必要があります。	偽
value	文字列	Valueは、関連するCertificateRequestフィールドで許可される属性値を定義します。ワイルドカード"*"を受け入れます。設定した場合、関連フィールドは指定されたパターンに一致する必要があります。注：`value: ""`と`required: true`を組み合わせると、`CertificateRequest`を許可しないポリシーが確立されますが、他のポリシーでは許可される可能性があります。	偽

必須

ブール値

関連フィールドが必須であり、空の文字列であってはならないことを示す必須項目。デフォルトはfalseです。

偽

validations

オブジェクトの配列

偽

value

文字列

偽

`CertificateRequestPolicy.spec.allowed.subject.serialNumber.validations[index]`

ValidationRuleは、CELで表現された検証ルールを記述します。

名前タイプ説明必須

名前	タイプ	説明	必須
rule	文字列	Ruleは、CELによって評価される式を表します。参照：https://github.com/google/cel-spec。Ruleは、スキーマ内のvalidationsの場所にスコープされます。CEL式内の`self`変数は、スコープされた値にバインドされます。より高度な検証ルールを有効にするために、承認者ポリシーは、`CertificateRequest`リソースの`namespace`と`name`を含むCEL式への`cr`（マップ）変数を追加します。例（名前空間付きDNSNamesのルール） rule: self.endsWith(cr.namespace + '.svc.cluster.local')	真
message	文字列	Messageは、検証が失敗した場合に表示するメッセージです。ルールに改行が含まれている場合は、Messageが必要です。Messageに改行を含めてはならないことに注意してください。設定されていない場合は、フォールバックメッセージ「failed rule: `<rule>`」が使用されます。例：「spec.hostと一致するホストを持つURLでなければなりません」	偽

rule

文字列

例（名前空間付きDNSNamesのルール）

rule: self.endsWith(cr.namespace + '.svc.cluster.local')

真

message

文字列

偽

`CertificateRequestPolicy.spec.allowed.subject.streetAddresses`

StreetAddressesは、リクエスト可能なX.509 Subject Street Addressesを定義します。

名前タイプ説明必須

名前	タイプ	説明	必須
必須	ブール値	Requiredは、関連フィールドに少なくとも1つの値が必要かどうかを制御します。デフォルトは`false`です。	偽
validations	オブジェクトの配列	Validationsは、Common Expression Language（CEL）を使用して、値/必須を使用して表現できる範囲を超えて、リクエストに存在する属性値を検証するルールを適用します。関連するCertificateRequestフィールドのすべての属性値は、このポリシーによってリクエストが許可されるために、すべての検証に合格する必要があります。	偽
values	[]文字列	Valuesは、関連するCertificateRequestフィールドで許可される属性値を定義します。ワイルドカード"*"を受け入れます。設定した場合、関連フィールドには許可された値に含まれる項目のみを含めることができます。注：`values: []`と`required: true`を組み合わせると、`CertificateRequest`を許可しないポリシーが確立されますが、他のポリシーでは許可される可能性があります。TODO: v1alpha2にx-kubernetes-list-type: setを追加	偽

必須

ブール値

Requiredは、関連フィールドに少なくとも1つの値が必要かどうかを制御します。デフォルトはfalseです。

偽

validations

オブジェクトの配列

偽

values

[]文字列

偽

`CertificateRequestPolicy.spec.allowed.subject.streetAddresses.validations[index]`

ValidationRuleは、CELで表現された検証ルールを記述します。

名前タイプ説明必須

名前	タイプ	説明	必須
rule	文字列	Ruleは、CELによって評価される式を表します。参照：https://github.com/google/cel-spec。Ruleは、スキーマ内のvalidationsの場所にスコープされます。CEL式内の`self`変数は、スコープされた値にバインドされます。より高度な検証ルールを有効にするために、承認者ポリシーは、`CertificateRequest`リソースの`namespace`と`name`を含むCEL式への`cr`（マップ）変数を追加します。例（名前空間付きDNSNamesのルール） rule: self.endsWith(cr.namespace + '.svc.cluster.local')	真
message	文字列	Messageは、検証が失敗した場合に表示するメッセージです。ルールに改行が含まれている場合は、Messageが必要です。Messageに改行を含めてはならないことに注意してください。設定されていない場合は、フォールバックメッセージ「failed rule: `<rule>`」が使用されます。例：「spec.hostと一致するホストを持つURLでなければなりません」	偽

rule

文字列

例（名前空間付きDNSNamesのルール）

rule: self.endsWith(cr.namespace + '.svc.cluster.local')

真

message

文字列

偽

`CertificateRequestPolicy.spec.allowed.uris`

URIsは、リクエストできるX.509 URI SANを定義します。

名前タイプ説明必須

名前	タイプ	説明	必須
必須	ブール値	Requiredは、関連フィールドに少なくとも1つの値が必要かどうかを制御します。デフォルトは`false`です。	偽
validations	オブジェクトの配列	Validationsは、Common Expression Language（CEL）を使用して、値/必須を使用して表現できる範囲を超えて、リクエストに存在する属性値を検証するルールを適用します。関連するCertificateRequestフィールドのすべての属性値は、このポリシーによってリクエストが許可されるために、すべての検証に合格する必要があります。	偽
values	[]文字列	Valuesは、関連するCertificateRequestフィールドで許可される属性値を定義します。ワイルドカード"*"を受け入れます。設定した場合、関連フィールドには許可された値に含まれる項目のみを含めることができます。注：`values: []`と`required: true`を組み合わせると、`CertificateRequest`を許可しないポリシーが確立されますが、他のポリシーでは許可される可能性があります。TODO: v1alpha2にx-kubernetes-list-type: setを追加	偽

必須

ブール値

Requiredは、関連フィールドに少なくとも1つの値が必要かどうかを制御します。デフォルトはfalseです。

偽

validations

オブジェクトの配列

偽

values

[]文字列

偽

`CertificateRequestPolicy.spec.allowed.uris.validations[index]`

ValidationRuleは、CELで表現された検証ルールを記述します。

名前タイプ説明必須

名前	タイプ	説明	必須
rule	文字列	Ruleは、CELによって評価される式を表します。参照：https://github.com/google/cel-spec。Ruleは、スキーマ内のvalidationsの場所にスコープされます。CEL式内の`self`変数は、スコープされた値にバインドされます。より高度な検証ルールを有効にするために、承認者ポリシーは、`CertificateRequest`リソースの`namespace`と`name`を含むCEL式への`cr`（マップ）変数を追加します。例（名前空間付きDNSNamesのルール） rule: self.endsWith(cr.namespace + '.svc.cluster.local')	真
message	文字列	Messageは、検証が失敗した場合に表示するメッセージです。ルールに改行が含まれている場合は、Messageが必要です。Messageに改行を含めてはならないことに注意してください。設定されていない場合は、フォールバックメッセージ「failed rule: `<rule>`」が使用されます。例：「spec.hostと一致するホストを持つURLでなければなりません」	偽

rule

文字列

例（名前空間付きDNSNamesのルール）

rule: self.endsWith(cr.namespace + '.svc.cluster.local')

真

message

文字列

偽

`CertificateRequestPolicy.spec.constraints`

制約は、このポリシーによって要求が許可されるためにCertificateRequestによって満たされる必要があるフィールドを定義します。省略されたフィールドは、リクエストの対応する属性に制限を課しません。

名前	タイプ	説明	必須
maxDuration	文字列	MaxDuration は、証明書リクエストの最大期間を定義します。値は包括的です（つまり、`1h` の値は `1h` の期間を受け入れます）。 MinDuration と MaxDuration は同じ値でも構いません。設定した場合、期間は CertificateRequest で _必ず_ リクエストする必要があります。省略されたフィールドは、期間に対して最大制約を適用しません。	偽
minDuration	文字列	MinDuration は、証明書リクエストの最小期間を定義します。値は包括的です（つまり、`1h` の値は `1h` の期間を受け入れます）。 MinDuration と MaxDuration は同じ値でも構いません。設定した場合、期間は CertificateRequest で _必ず_ リクエストする必要があります。省略されたフィールドは、期間に対して最小制約を適用しません。	偽
privateKey	オブジェクト	PrivateKey は、CertificateRequest で許可される秘密鍵の形状に関する制約を定義します。省略されたフィールドは、秘密鍵の形状制約を適用しません。	偽

`CertificateRequestPolicy.spec.constraints.privateKey`

PrivateKey は、CertificateRequest で許可される秘密鍵の形状に関する制約を定義します。省略されたフィールドは、秘密鍵の形状制約を適用しません。

名前タイプ説明必須

名前	タイプ	説明	必須
algorithm	enum	Algorithm は、リクエスト内の秘密鍵に許可される暗号アルゴリズムを定義します。省略されたフィールドは、任意のアルゴリズムを許可します。 Enum: RSA, ECDSA, Ed25519	偽
maxSize	integer	MaxSize は、秘密鍵の最大鍵サイズを定義します。値は包括的です（つまり、`2048` の最小値は `2048` のサイズを受け入れます）。 MaxSize と MinSize は同じ値でも構いません。省略されたフィールドは、サイズに最大制約を適用しません。	偽
minSize	integer	MinSize は、秘密鍵の最小鍵サイズを定義します。値は包括的です（つまり、`2048` の最小値は `2048` のサイズを受け入れます）。 MinSize と MaxSize は同じ値でも構いません。省略されたフィールドは、サイズに最小制約を適用しません。	偽

algorithm

enum

Algorithm は、リクエスト内の秘密鍵に許可される暗号アルゴリズムを定義します。省略されたフィールドは、任意のアルゴリズムを許可します。

Enum: RSA, ECDSA, Ed25519

偽

maxSize

integer

MaxSize は、秘密鍵の最大鍵サイズを定義します。値は包括的です（つまり、2048 の最小値は 2048 のサイズを受け入れます）。 MaxSize と MinSize は同じ値でも構いません。省略されたフィールドは、サイズに最大制約を適用しません。

偽

minSize

integer

MinSize は、秘密鍵の最小鍵サイズを定義します。値は包括的です（つまり、2048 の最小値は 2048 のサイズを受け入れます）。 MinSize と MaxSize は同じ値でも構いません。省略されたフィールドは、サイズに最小制約を適用しません。

偽

`CertificateRequestPolicy.spec.plugins[key]`

CertificateRequestPolicyPluginData は、このポリシーで CertificateRequest を評価するためにプラグイン承認者が必要とする構成です。

名前	タイプ	説明	必須
values	map[string]文字列	値は、プラグインがこのポリシーに基づいてリクエストを正常に評価するために必要な、プラグインにとって既知の一連のキーと値のペアを定義します。	偽

`CertificateRequestPolicy.status`

CertificateRequestPolicyStatusは、CertificateRequestPolicyの観測された状態を定義します。

名前	タイプ	説明	必須
conditions	オブジェクトの配列	CertificateRequestPolicy のステータスを示すためのステータス条件のリスト。既知の条件タイプは `Ready` です。	偽

`CertificateRequestPolicy.status.conditions[index]`

CertificateRequestPolicyCondition には、CertificateRequestPolicyStatus の条件情報が含まれています。

名前	タイプ	説明	必須
ステータス	文字列	条件のステータス（'True'、'False'、'Unknown' のいずれか）。	真
type	文字列	条件のタイプ。既知の値は（`Ready`）です。	真
lastTransitionTime	文字列	LastTransitionTime は、この条件の最後のステータス変更に対応するタイムスタンプです。 Format: date-time	偽
message	文字列	Message は、理由を補完する、最後の遷移の詳細に関する人間が読める説明です。	偽
observedGeneration	integer	設定した場合、これは条件が設定された基準となる .metadata.generation を表します。たとえば、.metadata.generation が現在 12 であるにもかかわらず、.status.condition[x].observedGeneration が 9 である場合、この条件は CertificateRequestPolicy の現在の状態に関して古くなっています。 Format: int64	偽
reason	文字列	Reason は、条件の最後の遷移に関する簡潔な機械可読な説明です。	偽